Криптовалютный кошелек BitGo исправил критическую уязвимость, которая могла раскрыть закрытые ключи розничных и институциональных пользователей.
Исследовательская группа по криптовалюты Fireblocks обнаружила недостаток и уведомила команду BitGo в декабре 2022 года. Уязвимость была связана с кошельками BitGo Threshold Signature Scheme (TSS) и могла раскрыть закрытые ключи бирж, банков, предприятий и пользователей платформы.
Команда Fireblocks назвала уязвимость BitGo Zero Proof Vulnerability, которая позволяет потенциальным злоумышленникам извлечь закрытый ключ менее чем за минуту, используя небольшой объем кода JavaScript. BitGo приостановила работу уязвимой службы 10 декабря и выпустила исправление в феврале 2023 года, которое требовало обновления на стороне клиента до последней версии к 17 марта.
Команда Fireblocks рассказала, как она идентифицировала эксплойт, используя бесплатную учетную запись BitGo в основной сети. Отсутствующая часть обязательных доказательств с нулевым разглашением в протоколе кошелька BitGo ECDSA TSS позволила команде раскрыть закрытый ключ с помощью простой атаки.
Связанный с этим: Euler Finance взломан на более чем 195 миллионов долларов в результате атаки на флэш-кредит
Стандартные в отрасли платформы криптовалютных активов корпоративного уровня используют либо многосторонние вычисления (MPC/TSS), либо технологию мультиподписей, чтобы исключить возможность атаки из одной точки. Это делается путем распределения закрытого ключа между несколькими сторонами, чтобы обеспечить контроль безопасности, если одна из сторон скомпрометирована.
Fireblocks удалось доказать, что внутренние или внешние злоумышленники могут получить доступ к полному секретному ключу двумя возможными способами.
Скомпрометированный пользователь на стороне клиента может инициировать транзакцию для получения части закрытого ключа, хранящегося в системе BitGo. Затем BitGo выполнит вычисление подписи, прежде чем делиться информацией, из-за которой происходит утечка осколка ключа BitGo.
«Злоумышленник теперь может восстановить полный закрытый ключ, загрузить его во внешний кошелек и вывести средства сразу или позже».
Второй сценарий рассматривал атаку, если BitGo был скомпрометирован. Злоумышленник будет ждать, пока клиент инициирует транзакцию, прежде чем ответить вредоносным значением. Затем он используется для подписания транзакции осколком ключа клиента. Злоумышленник может использовать ответ, чтобы раскрыть осколок ключа пользователя, прежде чем объединить его с осколком ключа BitGo, чтобы получить контроль над кошельком.
Fireblocks отмечает, что по указанному вектору не было проведено никаких атак, но предупредил пользователей, чтобы они рассмотрели возможность создания новых кошельков и перемещения средств из кошельков ECDSA TSS BitGo до выхода патча.
В последние годы взлом кошельков стал обычным явлением в криптовалютной индустрии. В августе 2022 года из более чем 7000 кошельков Slope в Солане было выведено более 8 миллионов долларов. Служба сетевого кошелька Algorand MyAlgo также подверглась взлому кошелька, в результате которого из различных известных кошельков было украдено более 9 миллионов долларов.
